El ataque de ransomware a Kaseya

El viernes 2 de julio de 2021, mientras los estadounidenses se preparaban para las celebraciones del 4 de julio, la empresa de IT Kaseya se convirtió en el objetivo de un ataque de ransomware perpetrado por el grupo con sede en Rusia REvil. este artículo explica cómo se desarrolló el ataque y qué medidas preventivas se pueden implementar para evitar convertirse en víctimas de ransomware.

El ataque

Kaseya es una empresa de IT con sede en Florida. Como se informa en su sitio web, proporciona aplicaciones para monitoreo remoto, automatización de servicios, automatización de procesos de cumplimiento y monitoreo del desempeño de la red. Una de sus aplicaciones, Kaseya VSA, el 2 de julio de 2021 se convirtió en objeto de un ciberataque. VSA ofrece supervisión y gestión remotas de las funciones de IT y se distribuye en más de 10 países.

Encontrar y explotar vulnerabilidades

Como informó agendadigitale.eu, en el momento del ataque, el DIVD (Instituto Holandés de Divulgación de Vulnerabilidades) ya estaba analizando la plataforma VSA debido a algunas vulnerabilidades críticas que había identificado. Los piratas informáticos explotaron una de estas vulnerabilidades, llamada CVE-2021-30116, para ingresar a los sistemas de los MSPs que estaban usando la aplicación.

Más específicamente, la vulnerabilidad es una inyección de SQL que permite pasar por alto la fase de autenticación, lo que permite que todos inicien sesión en la plataforma. No está claro cómo REvil se enteró de la vulnerabilidad. Sin embargo, pudo llevar a cabo el ataque antes de que Kaseya tuviera tiempo de preparar y distribuir un parche.

The attacker: REvil

Según BBC.com, REvil es un grupo ciberdelincuente con sede en Rusia. También conocido como Sodinokibi, es uno de los grupos de pirata informáticos más prolíficos y rentables del mundo y se ha dirigido repetidamente a empresas estadounidenses. En mayo de 2021 el FBI lo culpó de paralizar las operaciones de la empresa JBS, la mayor proveedora de productos cárnicos del mundo. Además, en 2019 se consideró que estaba detrás de un ataque que tuvo como objetivo a casi docenas de gobiernos locales de Texas.

FBI VS Hacker in USA

Un ataque de ransomware a la cadena de suministro

El papel de las MSPs

El ataque de Kaseya se conoce como un ataque de ransomware de la cadena de suministro: en lugar de apuntar directamente al usuario final, los piratas informáticos persiguen a los proveedores de software. En particular, el medio de comunicación de seguridad de la información crn.com informó que alrededor de 40 proveedores de servicios administrados (MSPs) se vieron comprometidos por el ataque, con un efecto en cascada en todos los clientes a los que servían.

 

Los MSPs suelen gestionar decenas o cientos de empresas. Al atacarlos, los piratas informáticos tienen la posibilidad de extender el ataque a sus clientes, explotando así el efecto multiplicador y llegando a una base de dispositivos mucho más amplia. De hecho, poco después de que se llevara a cabo el ataque, el grupo REvil anunció en su “Happy Blog” que había infectado más de un millón de dispositivos individuales.

Según Reuters.com, las empresas se infectaron en los cinco continentes, paralizando a cientos de empresas e instituciones, desde pequeñas compañías, como consultorios de dentistas o contables, hasta casos de interrupciones más grandes. Por ejemplo, la cadena de supermercados sueca Coop tuvo que cerrar cientos de puntos de ventas porque sus cajas registradoras dejaron de funcionar como resultado del ataque. Además, en nueva Zelanda, once escuelas y varios jardines de infancia quedaron fuero de servicio

Reuters informa que se pusieron en contacto con los piratas informáticos y su representante les dijo que, si bien la interrupción sueca no era lamentable ya que los supermercados “no son más que un negocio”, el caso de Nueva Zelanda fue un accidente.

La solicitud de rescate

Luego, llegó la solicitud de ransomware: REvil proporcionaría una clave de descifrado universal a Kaseya tras el pago de un rescate por valor de 70 millones de dólares. El grupo pidió que el rescate se pague en Bitcon: las criptomonedas se han convertido en un medio de pago cada vez más preferido en estos casos ya que otorgan el anonimato.

Como informó Reuters.com tres días después de que ocurriera el ataque, el director ejecutivo de Kaseya, Fred Voccola, se negó a decir si Kaseya estaba listo para negociar con los piratas informáticos. Para entonces, la empresa se había puesto en contacto con el FBI y con CISA, la Agencia de infraestructura y Ciberseguridad federal de EE. UU.

Reuters subraya cómo el ransomware se ha vuelto cada más rentable en los últimos años. Durante el ataque de Texas de 2019, el grupo exigió un recate total de 2.5 millones de dólares, muy por debajo de la cantidad solicitada a Kaseya. Por lo tanto, está claro cómo las aspiraciones de los piratas informáticos se han hecho más grandes con el tiempo y cómo su enfoque se ha vuelto más mesurado y organizado.

CEO di Kaseya Fred Voccola

Como terminó

El esfuerzo diplomático

El 8 de julio, CBSnews.com informó que la secretaria de prensa de la Casa Blanca, Jen Paski, había dicho que un “alto nivel” de funcionarios de seguridad nacional de Estados Unidos se había puesto en contacto con altos funcionarios rusos sobre el ataque de Kaseya. Paski dejó en claro que Estados Unidos responsabilizaría a Rusia por las acciones criminales que tuvieran lugar dentro de sus fronteras. Además, informó que los dos países habían programado una reunión para la semana siguiente.

Como recuerda BBC.com, durante una cumbre en Ginebra en junio de 2021, el presidente estadounidense Joe Biden le había dicho al presidente ruso Vladimir Putin que tenía la responsabilidad de controlar esos ciberataques. Además, Biden le había dado a Putin una lista de 16 sectores de infraestructura crítica desde energía hasta agua, que no deberían ser objeto de piratería.

Los sitios web de REvil desaparecen

CSOonline.com, el medio que proporciona noticias, análisis e investigación sobre seguridad y gestión de riesgos, informó que el 13 de julio los sitios web de la pandilla de REvil se desconectaron repentinamente. Como resultado de esto, algunas de las víctimas que estaban tratando de negociar con los piratas informáticos no pudieron seguir discutiendo un acuerdo sobre cómo recuperar datos a través de una clave de descifrado.

Este evento provocó mucha especulación sobre si el gobierno de Estados Unidos o Rusia había tomado medidas contra el grupo. Sin embargo, ningún comentario fue recibido de ninguna de las partes.

Mientras tanto, Kaseya había podido emitir algunos parches para comenzar a resolver el problema. Sin embargo, muchas empresas aún no pudieron recuperar el control sobre sus dispositivos cifrados.

Kaseya adquiere una clave de descifrado universal

El 22 de julio, Kaseya anunció que había obtenido una clave de descifrado universal para las víctimas de ransomware. No está claro quien proporcionó la clave. Kaseya se limitó a decir que la clave fue proporcionada por un “tercero” y que los equipos que estaban trabajando con las víctimas habían verificado que el descifrado no estaba causando ningún problema o inconveniente.

Después de que la clave resultó ser 100% efectiva, se le preguntó a Kaseya si la había obtenido tras el pago del rescate solicitado. La empresa manifestó que, tras consultar con los expertos, había decidido no negociar con los delincuentes que habían perpetrado el ataque y no había pagado un rescate, ni directa ni indirectamente, para obtener el cifrado.

FlashStart: es mejor prevenir que curar

Un preocupante artículo de Reuters.com fechado el 3 de agosto de 2021 informa que, a pesar del buen final del ataque de Kaseya, el incidente dio lugar a una nueva carrera entre bandas criminales que buscaban vulnerabilidades similares. Después de que los piratas informáticos presenciaran cuán poderosos pueden ser los ataques de MSPs, comenzaron a moverse para encontrar y explotar otras debilidades en las redes de la cadena de suministro similares a las que estaba experimentando Kaseya.

Prevenir estos ataques cuidadosamente preparados no es una tarea fácil, pero hay acciones que las empresas y los MSPs pueden llevar a cabo para evitar pagar un alto precio en términos de pérdida de datos o también en términos monetarios.

Capacitar a los empleados para que reconozcan la fuente potencial de una violación de datos es un primer paso, ya que los errores humanos siempre juegan un papel importante en estos accidentes. Sin embargo, precisamente debido a la alta incidencia de errores humanos, también es esencial estar equipado con las herramientas adecuadas. En este panorama, el software FlashStart representa una opción preferida. El filtro de Internet basado en la nube que ofrece FlashStart se actualiza constantemente, siempre está activo, es fácil de configurar y difícil de apagar. ¡Contáctanos para obtener más información sobre nuestro producto y comience a navegar de manera segura hoy mismo con las herramientas de seguridad FlashStart!

 


Puede activar la protección FlashStart® Cloud en cualquier tipo de Router y Firewall para proteger los dispositivos móviles y de escritorio y los dispositivos IoT en las redes locales.

> Para más información click aquí
> Para una prueba gratuita click aquí
> Para solicitar una estimación click aquí